Anslut data från Microsoft Defender XDR till Microsoft Sentinel
Med Microsoft Sentinels Microsoft Defender XDR-anslutningsprogram med incidentintegrering kan du strömma alla Microsoft Defender XDR-incidenter och aviseringar till Microsoft Sentinel och hålla incidenterna synkroniserade mellan båda portalerna. Microsoft Defender XDR-incidenter omfattar alla deras aviseringar, entiteter och annan relevant information. De omfattar även aviseringar från Microsoft Defender XDR:s komponenttjänster Microsoft Defender för Endpoint, Microsoft Defender för identitet, Microsoft Defender för Office 365 och Microsoft Defender för molnet-appar samt aviseringar från andra tjänster som Dataförlustskydd i Microsoft Purview och Microsoft Entra ID Protection. Microsoft Defender XDR-anslutningsappen innehåller även incidenter från Microsoft Defender för molnet, men om du vill synkronisera aviseringar och entiteter från dessa incidenter måste du aktivera Microsoft Defender för molnet-anslutningsappen, annars måste du Microsoft Defender för molnet incidenter visas tomma. Läs mer om tillgängliga anslutningsappar för Microsoft Defender för molnet.
Med anslutningsappen kan du också strömma avancerade jakthändelser från alla ovanstående Defender-komponenter till Microsoft Sentinel, så att du kan kopiera defender-komponenternas avancerade jaktfrågor till Microsoft Sentinel, utöka Sentinel-aviseringar med Defender-komponenternas rådata för att ge ytterligare insikter och lagra loggarna med ökad kvarhållning i Log Analytics.
Mer information om incidentintegrering och avancerad insamling av jakthändelser finns i Microsoft Defender XDR-integrering med Microsoft Sentinel.
Microsoft Defender XDR-anslutningsappen är nu allmänt tillgänglig.
Kommentar
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.
Förutsättningar
Du måste ha en giltig licens för Microsoft Defender XDR, enligt beskrivningen i Förhandskraven för Microsoft Defender XDR.
Användaren måste tilldelas rollerna Global administratör eller Säkerhetsadministratör på den klientorganisation som du vill strömma loggarna från.
Användaren måste ha läs- och skrivbehörighet på din Microsoft Sentinel-arbetsyta.
Om du vill göra ändringar i anslutningsinställningarna måste användaren vara medlem i samma Microsoft Entra-klientorganisation som din Microsoft Sentinel-arbetsyta är associerad med.
Installera lösningen för Microsoft Defender XDR från Innehållshubben i Microsoft Sentinel. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.
Förutsättningar för Active Directory-synkronisering via MDI
Din klientorganisation måste vara registrerad på Microsoft Defender för identitet.
MDI-sensorn måste vara installerad.
Anslut till Microsoft Defender XDR
Välj Dataanslutningsprogram i Microsoft Sentinel, välj Microsoft Defender XDR i galleriet och välj Sidan Öppna anslutningsapp.
Avsnittet Konfiguration innehåller tre delar:
Anslut incidenter och aviseringar möjliggör grundläggande integrering mellan Microsoft Defender XDR och Microsoft Sentinel, synkronisering av incidenter och deras aviseringar mellan de två plattformarna.
Anslut entiteter möjliggör integrering av lokal Active Directory användaridentiteter i Microsoft Sentinel via Microsoft Defender för identitet.
Anslut händelser möjliggör insamling av råa avancerade jakthändelser från Defender-komponenter.
Dessa förklaras mer detaljerat nedan. Mer information finns i Microsoft Defender XDR-integrering med Microsoft Sentinel .
Anslut incidenter och aviseringar
För att mata in och synkronisera Microsoft Defender XDR-incidenter, med alla deras aviseringar, till din Microsoft Sentinel-incidentkö:
Markera kryssrutan med etiketten Inaktivera alla regler för att skapa Microsoft-incidenter för dessa produkter. Rekommenderas för att undvika duplicering av incidenter.
(Den här kryssrutan visas inte när Microsoft Defender XDR-anslutningsappen är ansluten.)Välj knappen Anslut incidenter och aviseringar.
Kommentar
När du aktiverar Microsoft Defender XDR-anslutningsappen ansluts alla Microsoft Defender XDR-komponenters anslutningsappar (de som nämns i början av den här artikeln) automatiskt i bakgrunden. För att kunna koppla från en av komponenternas anslutningsappar måste du först koppla från Microsoft Defender XDR-anslutningsappen.
Om du vill köra frågor mot Microsoft Defender XDR-incidentdata använder du följande instruktion i frågefönstret:
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
Anslut entiteter
Använd Microsoft Defender för identitet för att synkronisera användarentiteter från din lokal Active Directory till Microsoft Sentinel.
Kontrollera att du har uppfyllt kraven för att synkronisera lokal Active Directory användare via Microsoft Defender för identitet (MDI).
Välj länken Gå till UEBA-konfigurationssidan.
Om du ännu inte har aktiverat UEBA på sidan Konfiguration av entitetsbeteende flyttar du sedan växlingsknappen till På överst på sidan.
Markera kryssrutan Active Directory (förhandsversion) och välj Tillämpa.
Anslut händelser
Om du vill samla in avancerade jakthändelser från Microsoft Defender för Endpoint eller Microsoft Defender för Office 365 kan följande typer av händelser samlas in från motsvarande avancerade jakttabeller.
Markera kryssrutorna i tabellerna med de händelsetyper som du vill samla in:
- Defender för Endpoint
- Defender för Office 365
- Defender för identitet
- Defender för molnet-appar
- Defender-aviseringar
Tabellnamn Händelsetyp DeviceInfo Datorinformation, inklusive OS-information DeviceNetworkInfo Nätverksegenskaper för enheter, inklusive fysiska kort, IP- och MAC-adresser samt anslutna nätverk och domäner DeviceProcessEvents Skapa processer och relaterade händelser DeviceNetworkEvents Nätverksanslutning och relaterade händelser DeviceFileEvents Skapa, ändra och andra filsystemhändelser DeviceRegistryEvents Skapa och ändra registerposter DeviceLogonEvents Inloggningar och andra autentiseringshändelser på enheter DeviceImageLoadEvents DLL-inläsningshändelser DeviceEvents Flera händelsetyper, inklusive händelser som utlöses av säkerhetskontroller som Windows Defender Antivirus och exploateringsskydd DeviceFileCertificateInfo Certifikatinformation för signerade filer som hämtats från certifikatverifieringshändelser på slutpunkter Klicka på Tillämpa ändringar.
Om du vill köra frågor mot avancerade jakttabeller i Log Analytics anger du tabellnamnet från listan ovan i frågefönstret.
Verifiera datainmatning
Datadiagrammet på anslutningssidan anger att du matar in data. Du kommer att märka att den visar en rad var för incidenter, aviseringar och händelser, och händelseraden är en aggregering av händelsevolymen i alla aktiverade tabeller. När du har aktiverat anslutningsappen kan du använda följande KQL-frågor för att generera mer specifika diagram.
Använd följande KQL-fråga för en graf över inkommande Microsoft Defender XDR-incidenter:
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
SecurityIncident
| where ProviderName == "Microsoft 365 Defender"
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
Använd följande KQL-fråga för att generera ett diagram över händelsevolymen för en enskild tabell (ändra tabellen DeviceEvents till den tabell som du väljer):
let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
DeviceEvents
| summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart
På fliken Nästa steg hittar du några användbara arbetsböcker, exempelfrågor och analysregelmallar som har inkluderats. Du kan köra dem på plats eller ändra och spara dem.
Nästa steg
I det här dokumentet har du lärt dig hur du integrerar Microsoft Defender XDR-incidenter och avancerade jakthändelsedata från Microsoft Defender-komponenttjänster i Microsoft Sentinel med hjälp av Microsoft Defender XDR-anslutningsappen. Mer information om Microsoft Sentinel finns i följande artiklar:
- Lär dig hur du får insyn i dina data och potentiella hot.
- Kom igång med att identifiera hot med Microsoft Sentinel.